我有一个拥有大约900个组的用户(其中一些嵌套,所以我怀疑有大约1000个组),他不能login返回的错误,说明有太多的ID。 我已经运行一个脚本来计算他的令牌大小,结果是约24K。 我们已经设置了64K的限制。 用户在SID历史中没有任何东西,因为他从未迁移过。
脚本: https : //gallery.technet.microsoft.com/scriptcenter/Check-for-MaxTokenSize-520e51e5
我也读过这个演习: https : //support.microsoft.com/en-us/help/327825/problems-with-kerberos–authentication-when-a-user-belongs-to-many-grou
但首先它说每个用户有固定数量的组,但是它说,如果我们将MaxTokenSize设置为64K,则每个用户可以拥有1600个域本地组。
我只是想知道在允许用户使用的AD组的最大数量时,设置MaxTokenSize的意义是什么? 我想我在这里错过了一些东西
如果您未将MaxTokenSize设置为64K,则由于默认值为12K(对于Windows Server 2012和更高版本为48K),您将遇到组成员数量较less的问题。 我怀疑你可能会使用比Windows 2012更早的操作系统,因为2012年引入了一个新的事件日志警告,为具有大型组成员身份的帐户提供确切的令牌大小。
如果您已经阅读过KB327825,则表明组数与令牌大小之间没有直接关系。 所需的内存量根据组types(通用/全局/本地),如果组位于同一个域或另一个域,域名,客户端名称,以及如果在授权中使用故障单,则会有所不同。
您没有指定确切的组数,但您估算的数量超出了任何合理的devise。 无论他们在做什么,都需要用更less的团体来完成。